首页 > 清静研究 > 清静转达 > 清静通告

chrome在野使用0day误差清静通告

宣布时间 2019-03-07

误差编号和级别

CVE编号：CVE-2019-5786，危险级别：高危， CVSS分值：官方未评定

影响规模

受影响版本：

Google Chrome < 72.0.3626.121

误差概述

Google Chrome是一款Web浏览器。FileReader是其中的一个文件读取插件。

该误差影响所有操作系统上的Chrome 软件，包括微软 Windows、苹果 macOS 和 Linux 系统。

更让人担心的是，谷歌忠言称这个0day RCE误差已遭使用。

Google Chrome 72.0.3626.121之前版本，FileReader的实现中保存释放后重用误差。这个使用后释放误差是一类内存损坏bug，允许损坏或修改内存中的数据，使得低权限用户能够在受影响的系统或软件上提升权限。它可导致低权限攻击者获取 Chrome web 浏览器上的权限，逃逸沙箱�；げ⒃谀康南低成现葱许б獯�。

要使用该误差，攻击者所需的只是诱骗受害者翻开、或者将它们重定向至一个特殊结构的网页，而无需任何进一步的交互。

该误差由Google's Threat Analysis Group的Clement Lecigne于2019-02-27报告，现在没有宣布其它细节。

较量两个版本的源代码，发明third_party/blink/renderer/core/fileapi/file_reader_loader.cc有一些改动。在返回部分效果时复制ArrayBuffer以阻止对统一个底层ArrayBuffer的多个引用。

尊龙凯时·(中国区)人生就是搏!

修复建议

使用chrome浏览器的用户请翻开chrome://settings/help页面审查目今浏览器版本，若是不是最新版(72.0.3626.121)会自动检查升级，重启之后即可更新到最新版。

尊龙凯时·(中国区)人生就是搏!

参考链接

https://thehackernews.com/2019/03/update-google-chrome-hack.html

https://chromereleases.googleblog.com/2019/03/stable-channel-update-for-desktop.html

https://chromium.googlesource.com/chromium/src/+/150407e8d3610ff25a45c7c46877333c4425f062%5E%21/#F0

7*24小时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

软件升级

投资者关系